Защити свой компьютер на 100% от вирусов и хакеров
Шрифт:
Перечисленные утилиты можно скачать по адресу: http://www.izone.ru/security/spy/.
Говоря о добротных программных средствах противодействия вредоносному ПО, напоследок стоит все же упомянуть условно бесплатную программу Anti-Spy Info, которую можно загрузить с одноименного сайта . При запуске программа отображает список активных процессов и автоматически загружаемых объектов (тип запуска того или иного объекта приведен в графе Запуск). Все, что нам нужно делать, – следить за списком автозагрузки на предмет появления в нем новых объектов. Следует отметить
Если все усилия по поимке "зло-кода" так ничего и не дали, а признаки троянизации налицо (слишком большой трафик, непонятные процессы в оперативной памяти, зависания системы, лишние открытые порты) – то пришло, как говорят, время для плана Б. Необходимо просканировать ваш ПК извне на наличие открытых портов. Зачем? Все просто. Как уже было сказано выше, при своей работе троянский конь, как правило, открывает "левый", нестандартный для нормального состояния системы порт.
ВНИМАНИЕ
Имейте в виду – ничто не мешает троянскому коню использовать порт доверенного приложения!
Все, что вам понадобится для такой операции, – хороший сканер портов. Данная процедура высокоэффективна, и с ее помощью выявляются даже самые скрытные и хитрые троянские кони. Из сканеров можно посоветовать X-Spider, который является лучшим сканером для подобных дел. Если у вас открыты нестандартные порты, то стоит задуматься и прикрыть это дело в настройках брандмауэра (подробно о выборе брандмауэра смотрите в гл. 6). Ниже приведен далеко не полный список подозрительных портов:
23 – Tiny Telnet Server (= TTS);
25 – Ajan, Antigen, Email Password Sender, Haebi Coceda, Happy 99;
31 – Master Paradise;
121 – BO jammerkillahV;
456 – HackersParadise;
555 – Phase Zero;
666 – Attack FTP;
1001 – Silencer;
1001 – WebEx;
1010 – Doly Trojan 1.30 (Subm.Cronco);
1011 – Doly Trojan 1.1 + 1.2;
1015 – Doly Trojan 1.5 (Subm.Cronco);
1033 – Netspy;
1042 – Bla1.1;
1170 – Streaming Audio Trojan;
1207 – SoftWar;
1243 – SubSeven;
1245 – Vodoo;
1269 – Maverick's Matrix;
1492 – FTP99CMP;
1509 – PsyberStreamingServer Nikhil G;
1600 – Shiva Burka;
1807 – SpySender;
6669 – Vampire 1.0;
6670 – Deep Throat;
6883 – DeltaSource (DarkStar);
6912 – Shitheep;
6939 – Indoctrination;
7306 – NetMonitor;
7789 – iCkiller;
9872 – PortalOfDoom;
9989 – nIkiller;
10607 – Coma Danny;
11000 – SennaSpyTrojans;
11223 – ProgenicTrojan;
12076 – Gjamer;
12223 – Hackr99 KeyLogge;
12346 – NetBus 1.x (avoiding Netbuster);
12701 – Eclipse 2000;
16969 – Priotrity;
20000 – Millenium20034-NetBus Pro;
20203 – Logged!;
20203 – Chupacabra;
20331 – Bla;
21544– GirlFriend;
22222 – Prosiak 0.47;
23456 – EvilFtp;
27374 – Sub-7 2.1;
29891 – The Unexplained;
30029 – AOLTrojan1.1;
30100 – NetSphere;
30303 – Socket25;
30999 – Kuang;
31787 – Hack'a'tack;
33911 – Trojan Spirit 2001 a;
34324 – Tiny Telnet Server;
34324 – BigGluck TN;
40412 – TheSpy;
40423 – Master Paradise;
50766 – Fore;
53001 – RemoteWindowsShutdown;
54320 – Back Orifice 2000 (default port);
54321 – Schoolbus 1.6+2.0;
61466 – Telecommando;
65000 – Devil 1.03.
4.4.
Практический экзорцизм – изгоняем «зло-код» голыми рукамиПроверено автором. Если в процессе работы антивирусов, чистильщиков, сканеров и прочего вы все-таки почувствовали, что экзорцист – это вы, а порции адреналина получает кто-то другой, то непременно, даже не задумываясь, вам обязательно следует «убить» его собственными руками.
Для ритуала нам понадобятся:
светлая голова и работающая Windows;
Редактор реестра;
минимальный набор специальных программ (Starter, ADinf).
Как правило, процедура безопасного избавления от вредоносного ПО включает в себя ряд стадий, главными из которых будут следующие.
1. Завершение "зло-процесса".
2. Уничтожение исполняемого файла.
3. Уничтожение записи в реестре, принадлежащей вирусу/троянскому коню.
Технология убийства процесса, принадлежащего "чужому", несложна и сводится к выделению процесса в списке Диспетчера задач и нажатию кнопки Завершить процесс. Понятное дело, что следующие процессы трогать не стоит: Explorer, Lsass, Services, System, Winlogon, Vsmon, Ctfmon, Svchost, Csrss, Smss. Естественно, помимо перечисленных, в Диспетчере задач можно обнаружить и другие процессы – те, которые принадлежат запущенным и резидентно выполняющимся приложениям. Это, например, avp, принадлежащий «Антивирусу Касперского», zonealarm, принадлежащий брандмауэру, и т. д. Особое внимание следует обратить на так называемые процессы-маскировщики, имитирующие истинные: explore, sys, svshost, winlogin, systrey и т. д.
При невозможности остановки "зло-процесса" средствами Диспетчера задач можно воспользоваться утилитой Process Explorer или ей подобной (например, вышеупомянутой Anti-Spy Info).
Здесь следует упомянуть о множестве подводных камней, с которыми может столкнуться пользователь, пытающийся "высадить" заразу из системы:
никто не запретит вредоносному коду висеть в Диспетчере задач под «легальным» именем (например, svchost);
"зло-процесс" может вообще не светиться в Диспетчере задач – такое вполне возможно.
Вторая стадия нашего ритуала подразумевает удаление тела "зло-кода". Но опять с некоторым уточнением.
Удаление такого файла может стать непреодолимым препятствием: система просто запретит удалять ею используемый файл. В этом случае удалить вирус можно будет только из другой среды (например, используя Live-CD) или, предварительно переименовав подозрительный файл, удалить его одним из возможных способов.
Возможен также вариант, когда "зло-код" изменяет настройки Windows, так чтобы пользователь не мог видеть скрытые файлы (в числе которых и сам вирус).